O Chrome teve uma semana ruim. Seu site tem um trabalho a fazer.

No dia 9 de junho, o Google lançou uma atualização de emergência para o Chrome. O motivo: a CVE-2026-11645, uma falha no motor que executa JavaScript dentro do navegador, grave o suficiente para que uma página maliciosa consiga executar código na máquina do visitante. Não foi por precaução. A falha já estava sendo explorada ativamente antes da correção existir, e a CISA (agência de cibersegurança dos EUA) a incluiu no mesmo dia no seu catálogo de vulnerabilidades de correção obrigatória.

É o quinto zero-day do Chrome explorado ativamente só este ano. Isso não é um demérito do Google: encontrar e corrigir essas falhas rápido é o esperado. Mas confirma algo que vale internalizar: o navegador é uma camada de segurança que falha várias vezes, em momentos que ninguém controla.

Primeiro o mais urgente: atualize o Chrome hoje. O navegador baixa as atualizações sozinho, mas elas só entram em vigor ao reiniciá-lo — e muitos de nós não reiniciamos o navegador há semanas. Procure o aviso de atualização no canto superior direito, ou vá em Configurações → Sobre o Google Chrome, e reinicie por completo. O mesmo motor está dentro do Edge, do Brave e do Opera — atualize esses também se a sua equipe os utiliza.

O que isso tem a ver com o seu site

Pergunta justa. Um bug de navegador é problema do Google, não seu. Mas a conexão existe, e vem direto dos nossos próprios relatórios de scan.

Um dos achados mais comuns quando escaneamos o site de uma empresa é este:

LOW — Missing Content-Security-Policy header No CSP header set; XSS mitigation depends solely on browser defaults.

Em português: nenhum cabeçalho CSP configurado — a proteção contra scripts maliciosos depende exclusivamente dos padrões do navegador. Releia essa última parte. Significa que o site optou por ter exatamente uma linha de defesa contra scripts maliciosos: o navegador do visitante. O mesmo navegador que acabou de precisar da quinta correção de emergência do ano.

O cabeçalho Content-Security-Policy é a lista de permissões do próprio site: ele diz a cada navegador que visita as suas páginas quais scripts podem executar ali — e tudo o que não está na lista é recusado. Sem ele, um atacante que encontre qualquer caminho para injetar um script no seu site — um formulário vulnerável, um plugin desatualizado, um componente de terceiros comprometido — ganha passe livre nos navegadores dos seus clientes. Scripts injetados podem roubar sessões de login, capturar os dados do formulário de pagamento ou redirecionar silenciosamente os seus visitantes para uma página que distribui scripts que exploram falhas exatamente como a desta semana. Nesse cenário, o cabeçalho ausente no seu site vira o comprometimento das máquinas dos seus clientes com o seu nome na página onde tudo aconteceu.

O CSP existe para quebrar essa corrente. Quando a primeira defesa falha — e semanas como esta provam que às vezes ela falha — é a proteção que fica entre um script injetado e os seus visitantes.

Por que classificamos como LOW — e reportamos mesmo assim

A classificação de severidade descreve o risco de um achado sozinho, hoje: um cabeçalho CSP ausente não abre nenhuma porta sozinho, então recebe LOW. O que a classificação não consegue capturar é o tamanho do estrago quando outra camada falha: o plugin que se revela vulnerável, o navegador que se revela explorável. É exatamente por isso que ele aparece em todos os relatórios: LOW significa "não é urgente isoladamente" e NÃO "pode ignorar para sempre". Defesa em profundidade é fechar exatamente essas brechas nas semanas calmas, para que as semanas agitadas passem sem sustos.

A correção é uma mudança de configuração, não um projeto: seu desenvolvedor ou provedor de hospedagem pode adicionar o cabeçalho, começando em modo report-only para ver o que ele bloquearia, e depois ativando a proteção. Uma tarde de trabalho por uma camada que você controla por completo. Assim você não precisa esperar pela atualização de emergência de ninguém.

---

Quer saber o que os cabeçalhos do seu site dizem a um atacante? Um scan externo é o primeiro passo de todo trabalho da Confidanti — fale com a gente.